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Verfahren zur Sicherung eines Programmablaufs 

Die vorliegende Erfindung betrifft ein Verf ahren zur Sicherung des Pro- 
5 grammablaufs gemafi Anspruchl. 

Insbesondere bei sicherheitsrelevanten Anwendungen, beispielsweise im 
Bereich von IC-Karten ist es notwendig, den Programmablauf vor unerlaub- 
ten Manipulationen zu schtitzen. Zum Schutz geheimer Daten, beispielswei- 
10 se geheimer Schliisseldaten, ist es bekannt, die zu schutzenden Dateri ver- 
schlusselt abzulegen, urn ein Auslesen durch Unberechtigte zu verhindern. 

Der Zugriff auf geheime Daten kann jedoch auch dadurch erf olgen, dafi der 
Programmablauf gezielt unterbrochen wird, so dafi Fehler in den Verschlus- 
15 selungsroutinen entstehen, aus denen nach mehrmaliger gezielter Unterbre- 
chung auf die geheimen Daten riickgeschlossen werden kann. 

Zur Vermeidung derartiger Angriffe ist es notwendig, Fehler oder StSrungen 
des Programmablaufs sicher zu erkennen. Aus der deutschen Patentschrift 
20 DE 37 09 524 C2 ist ein Verf ahren zur Cberpriifung der SpeicherzeUeninhalte 
eines Programmspeichers in einem Rechner bekannt Dort werden mehrere 
Prufsummen abgespeichert, welche aus Speicherzelleninhalten von unter- 
schiedlichen Adrefi- und Datenspeicherbereichen gebildet werden. Die Prtif- 
summen werden zu Beginn und/ oder wahrend des Rechnerbetriebs ermit- 

25 telt und mit dor abgcopoiehorton Priifsumm e vorglichen. Boi Foststellung 

einer Abweichung wird ein Fehlersignal ausgegeben. 

Das aus der DE 37 09 524 C2 bekannte Verf ahren eignet sich hauptsachlich 
dazu, die Richtigkeit von Daten, welche in einem Programm verwendet 
30 werden, zu xiberprtif en. Es wird aufier Acht gelassen, dafi auch bzw. insbe- 
sondere bei Programmaufrufen, d.h. bei der Ausfuhrung von Unter- oder 



Funktionsprogxammen eine Manipulation des Programmablaufs erfolgen 
kann. 

Es ist deshalb Auf gabe der vorliegenden Erfindung, ein Verf ahren anzuge- 
ben, das die sichere Oberprufung von modular aufgebauten Programmer 
insbesondere bei Unterprogramrnaurrufen, zulafit. 

Gemafi der Erfindung wird diese Aufgabe geldst, indem vom aufgerxifenen 
Programm eine Datenuberpriifung ausgefuhrt wird, welche den sicheren 
tJbergang der vom aufrufenden PrOgramm zu iibergebenden Daten f est- 
stellt. 

Durch die Erfindung wird eine zusMtzliche Sicherheit erreicht, die nicht nur 
gewahrleistet, dafi einzelne Programmteile sicher und vollstandig ausgefuhrt 
werden, sondern dafi £er gesamte Programmablauf ungestdrt und frei von 
Manipulations ablauien kann, 

Eine vorteilhafte Ausfuhrungsf orm der Erfindung sieht vor, dafi iiber die 
vom aufruf enden Progranun ah das auf geruf ene Programm iibergebenen 
Parameter zunachst vom aufrufenden Programm eine Checksumme gebildet 
wird, welche in einem dafiir vorgesehenen Speicherbereich abgelegt wird. 
Nach Obergabe der Parameter wird auch vom aufgerxifenen Programm fiber 
die erhaltenen Parameter eine Checksumme gebildet . Ftir deu Fall, dafi die — 
vom aufruf enden und auf geruf enen Programm gebildeten Checksummen 
unterschiedlich sind, wird das Programm abgebrochen. 

Auf diese Weise kann sichergestellt werden, dafi ein Funktionsprogramm, 
insbesondere ein Funktionsprogramm, welches sicherheitsrelevante Daten 
abarbeitet, bereits zu Beginn auf Manipulationen hin untersucht wird, so dafi 



der Start des auf geruf enen Programms mit f ehlerhaften Parametern von 
vornherein verhindert werden kann und eine Auswertung der fehlerbehafte- 
ten Daten nicht ermOglicht wird. 

5 Vorzugsweise wird der Speicherbereich, welcher zur Ablage der 

Checksumme vorgesehen ist, in einem RAM- oder Registerbereich angelegt. 

Eine weitere oder alternative Ausfiihrungsform zur Bildung der Checksum- 

• me uber die zu iibergebenden Parameter ergibt sich aus der tJberpriifung 
10 der Riicksprungadressen. Dabei werden die Riicksprungadressen der aufru- 
f enden Funktionen in einer Tabelle eingetragen und vom auf geruf enen Pro- 
gramm kann mittels dieser Tabelle tiberpriift werden, ob die vom aufruf en- 
den Programm tibermittelte Rxicksprungadresse in der Tabelle vorhanden 
ist. Bei einer fehlerhaft mitgeteilten Rticksprungadresse kann das Programm 
15 unterbrochen werden. > 

Eine weitere alternative oder zusatzliche Sicherheitsiiberprtifung kann erfol- 
gen, indem bei Aufruf eines Untexprogramms bzw. eines Funktionspro- 
^ gramms ein Timer gestartet wird. Dieser Timer zShlt die Taktzyklen, welche 
20 for die AusfOhrung des Programms notwendig sind. Es wird dabei zunachst 
als Grenzwert ftir den Timer die fttr den regulSren Unterprogrammablauf 
benCtigte Anzahl der Taktzyklen als Grenzwert vorgegeben. Das Programm 

wird abg e brochen, wenn vo r B ee ndigung d e s Unterprogramms di e Anzahl — 

der vorgegebenen Taktzyklen liberschritten wurde. 

25 

In vorteilhafter Weise wird ^uch an bestimmten, vorgegebenen Stellen des 
Unterprogramms der Timerwert ausgelesen und mit ebenfalls vorgegebenen 
Zwischenwerten verglichen. Auch in diesem Fall wird das Programm abge- 
brochen, wenn der vorgegebene Zwischenwert uberschritten wurde. 



Im folgenden wird die Erfindung anhand der Fig. 1 bis 3 naher erlautert 





Eszeigen: 

Figur 1 : Ablauf diagramm fur die Dberprtifung mittels Prtif summe 

Figur 2: Ablauf ftir die Oberpriifung mittels Rucksprungadressentabelle 

Figur 3: Ablauf ftir die tlberpriifung mittels Timer. . 

In Figur 1 ist der Ablauf eines Unterprogrammmaufrufs, insbesondere eines 
Funktionsaufrufs beschrieben, wobei die Funktionsschritte 1 bis 3 das auf zu- 
rufende Programm betreff en und die Funktionsschritte 4 bis 8 die Auswer- 
tung des Unterprogramms betreffen. 



15 Im auf zuruf endenJRrqpramm werden zunachst in Schritt 1 die fiir die Aus- 
ftihrung des Unterprogramms notwendigen Parameter bereitgestellt. Fur 
diese Parameter wird in Schritt 2 eine Prtif summe gebildet, die im einfach- 
sten Fall aus einem Parity-check bestehen kann. Im weiteren sind selbstver- 
stSndlich die gSngigen Verfahren zur Priif sximmenbildung, z.B. CRC 
(Cyclical Redundancy Oieck) oder EDC einsetzbar. Die so ermittelte Pruf- 
summe (Checksumme) wird in einen daftir vorgesehenen Speicherbereich 
eingeschrieben. Bei diesem Speicherbereich kann es sich um einen fluchtigen 
Sppirhpr (R AM) nder anrh nm emen nirhtflfirhtigpn, wi . ederhpsrhreihbarpn 
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Speicher (z.B. EEPROM) handeln. 

In Anschlxifi an die Bildung und Abspeicherung der Prtifsumme 1 erf olgt der 
Unterprogpammaufruf in Schritt 3. Schritt 4 stellt den Beginn der Axisfiih- 
rung des Unterprogramms dar. In diesem Unterprogramm wird zunachst 
die Prtifsumme 2 tiber die tibergebenen Parameter gebildet. Diese Prtifsum- 
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me wird mit dem gleichen Verf ahren gebildet, mit dem auch die Priifsumme 
1 im aufrufenden Programm ermittelt wurde. 

Als nachstes erfolgt in Schritt 6 eine tTberpriifung der PrOfsummen PS1 und 
5 PS2 auf Gleichheit. Wird in diesem Schritt 6 f estgestellt, dafi die beiden Prtif- 
summen ungleich sind, kann davon ausgegangen werden, dafi bei der tfber- 
gabe der Programmparameter ein Fehler aufgetreten ist, welcher ein Hin- 
weis auf eine beabsichtigte StSrung mit dem Ziel, Geheimdaten zu ermitteln, 
sein kann. Als Mafinahme kann in Schritt 7 das Programm beendet werden 
10 oder es werden entsprechende alternative Mafinahmen getroffen, beispiels- 
weise eine Fehlermeldung an das Hauptprogramm. 

Wird in Schritt 6 f estgestellt, dal2 die Prufsummen PS1 und PS2 gleich sind, 
wird mit der eigentlichen Funktionsaiisfuhrimg begonnen. 

15 " \ 

Die Figur 2 zeigt eineMOglichkeit der Programmsicherung durch Oberprii- 
fen der Riicksprungadressen. Riicksprungadressen werden beim Funktions- 
aufruf per Hardware auf den Stack gelegt. Im vorliegenden Fall werden also 
im Schritt 11 beim Unterprogrammaufraf, ebrafalls die Informationen vom 

20 aufrufenden Programm (z.B. Riicksprungadressen) an das Unterprogramm 
ubergeben. GemSfi der Erfindung werden die Riicksprungadressen in einer 
Tabelle 17 verwaltet tind bei der Ausfuhrung des Unterprogramms werden 

zunachst in Schritt 12 die Riickspnmgadrcssen ■ sowei t sie im RAM abgelegt 

sind - auf Konsistenz hin untersucht, urn sie in Schritt 13 anhand der Tabelle 

25 17 zu iiberpriifen. Wenn in Schritt 14 festgestellt wurde, dafi die Qbergeberie 
Rticksprungadresse nicht in der Tabelle vorhanden ist, wird mit Schritt 15 
das Programm beendet, andernfalls wird in Schritt 16 mit der Ausfiihrung 
des Funktionsprogramms begonnen. 
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Die Figur 3 zeigt eine Ausftmrungsform, bei der der richtige Pro- 
grammablauf bzw. der ungestorte Programmablauf mittels eines Timers 
uberpriift wird. Unmittelbar nach dem Start des Unterprogramms in Schritt 
21 wird in Schritt 22 ein Timer gestartet. Dieser Timer ist ausgelegt, die Zeit 

5 zumessenbzw.dieTatktzyklenzuzahle^welchefQrdie Ausftthrung des 
Unterprogramms benOtigt werden. Im Anschlufi an den Start des Timers in 
Schritt 22 wird mit Schritt 23 dieFunktion des Unterprogramms ausgefuhrt 
und nach Beendigung der Funktion wird in Schritt 24 der Timer gestoppt. In 
Schritt 25 wird iiberpriift, ob die Anzahl der Taktzyklen, welche furdieAus- 

10 fiihrung des Funktionsprogramms benStigt wurden, mit der vorgegebenen 
Anzahl von Taktzyklen ubereinstimmt. Fiir den Fall, dafi keine Oberein- 
stimmung besteht, wird das Programm mit Schritt 26 beendet. Im anderen 
Fall wird in Schritt 27 mit der Programmausfuhrung f ortgef ahren, beispiels- 
weise indem zum Hauptprogramm zurUckgesprungen wird. 

15 

In der Figur 3 ist dargitellt, dafi der Timer nach Ablauf der Funktion bzw . 

*C -i 

des Funktionsprogramms gestoppt und uberpriift wird. In der Praxis kann 
die Sicherheit erhdht werden, indem bestimmte Stellen im Funktionspro- 
gramm vorgesehen werden, an denen der timer zusStzlich uberpriift wird. 
20 Damit kann gegebenenfalls verhindert werden, dafi das Funktionsprogramm 
- trotz eines Fehlers oder Angriffs weitgehend ausgefuhrt wird. 

Altemativ kann auch ^r^^n wprden. dafi der Tunerwert nach dem Start 

kontinuierlich mit einem Grenzwert verglichen wird und das Programm ab- 
25 gebrochen wird, wenn dieser Grenzwert erreicht bzw. uberschritten wurde. 



Die einzelnen Ausf Ohrungsbeispiele nach den Figuren 1 bis 3 wurden als 
eigenstandige, alternative Mafinahmen dargestellt. Die Sicherheit kann er- 
h6ht werden, indem die Ausftthrungsbeispiele kombiniert werden. Grofite 




Sicherheit bildet die paraUele Oberprttfung mittels Prtifsumme, Rticksprun- 
gadressenpriifung und Timeriiberpriifung. 
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1. Verf ahren zur Sicherung des Programmablaufs beim Aufruf vonUn- 
terprogrammen, dadurch gekeimzeichnet, dafi das aufgerufene Pro- 
gramm vor bzw. wahrend der Programmausfuhrung eine Oberprii- 
fung der vom aufnifenden Programm direkt oder indirekt ubermittel- 
ten Daten ausfUhrt. 

2. Verfahren nach Anspruch .1, dadurch gekeiinzeichnet, dafi 

- das aufruf ende Programm fiber die zu ubergebenden Parameter eine 
erste Oiecksumme bildet, 

- diese erste Checksumme in einem dafur vorgesehenen Speicherbe- 
reich abgelggt wird, 

- das aufgerufene Programm yor seiner Ausfiihrung tiber die erhalte- 
nen Parameter eine zweite Checksumme bildet und auf Qeichheit mit 
der ersten Checksumme iiberpniftund 

i 

- bei Ungleichheit der ersten und der zweiten Checksumme das Pro- 
gramm abgebrochen oder eine Fehlermeldung ausgegeben wird. 
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Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekennzeich- 
net, dafi der Speicherbereich zur Ablage der Checksumme ein RAM- 
oder Registerbereich ist. 
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4. Verfahrennacheinemder Anspruche 1 bis 3, dadurch gekeniizeich- 
net, dafi die Riicksprungadressen der aufruf enden Funktion in einer 
Tabelle eingetxagen werden und das auf geruf ene Programm die vom 
aufruf enden Programm mitgeteilte Rucksprungadresse iiberpruft, in- 

5 dem das Vorhandensein dieser Rucksprungadresse anhand der Tabel- 

le iiberpruft wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, dadurch gekennzeich- 
net, dafi bei Aufruf eines Unterprogramms ein Timer gestartet wird, 

10 welcher die fur die AusfOhrung des Programms benOtigte Anzahl von 

Taktzyklen zahlt und das Programm abbricht, wenn vor Beendigung 
des Unterprogramms die vorgegebene Anzahl der Taktzyklen tiber- 
schritten wurde. 

15 6. Verfahren raeh^Anspruch 5, dadurch gekermzeidmet, dafi der Ti- 

merwert an bes^ammten, vorgegebenen Stellen ausgelesen und mit ei- 
nem ebenfalls vorgegebenen Zwischenwert verglichen wird und das 
Programm abgebrochen wird, wenn der vorgegebene Zwischenwert 
uberschritten wurde. 

20 



Zusammenf as sung 

Die Erfindung betrifft ein Verfahren zur Sicherung des Programmablauf s 
beim Aufruf von Unterprogranunen. Bekannte Verfahren zur Datensiche- 

5 rung wirken zwar einer Auswertung der Daten durch gezielte Programm- 
unterbrechung entgegen, bieten jedoch keinen wirksamen Schutz bei modu- 
lar aufgebauten Programmen, insbesondere beim Aufruf von Unterpro- 
grammen. Gemafi der Erfindung fuhrt deshalb das auf geruf ene Programm 
vor bzw. wahrend der Programmausfuhrung eine Oberprufung der vom 

10 aufruf enden Programm direkt oder indirekt ubermittelten Daten aus. 
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Fig. 1 



UPausf 



Prufsumme 2 



Programm ausfdhre 




* Programm beenden. 



8 




17 



UPaufr 



T 



RAdr laden 
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Fig. 2 



RAdr prufen 



nein 
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Programm beenden. 



Programm ausfuhrer 
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